Filtrando malware en Office365 – Parte 2

En esta segunda parte vamos a usar reglas de Exchange para realizar el filtrado malware. En este caso la configuración dependerá mucho de vosotros mismos y de vuestras empresas y proveedores.

Vamos allá, empezamos abriendo el panel de administración de Exchange y nos vamos al apartado «flujo de correo».

Aquí como podéis ver yo tengo dos reglas ya creadas, las cuales explicaré a continuación, vosotros podéis crear una nueva y darle la prioridad que creáis conveniente, siendo 0 la prioridad máxima.

Veamos la regla llamada SPAM que función tiene:

Le estamos diciendo que cualquier correo que entre en nuestra organización y en el asunto o en el cuerpo del mensaje se encuentre alguna palabra o cadena de caracteres iguales a las que se especifican sea redirigido al buzón que creamos en el anterior capítulo donde nosotros seremos los únicos receptores y decidiremos que hacer (bloquear dominio, informar falto positivo, etc).

Como ejemplo os comento, esta regla fue creada por que en la organización comenzamos a recibir muchísimos correos de phishing del BBVA con el asunto «Confirming-BBVA», pero sobre todo comenzamos a recibir muchísimos del tipo siguiente:

Era bastante molesto y sobre todo que jefes reciban este tipo de correos, con lo cual decidí bloquear la palabra bitcoin, y aquí llegamos a lo que os decía al principio, estas reglas debéis crearlas acorde a vuestras empresas y proveedores, yo por ejemplo me puedo permitir el lujo de bloquear la palabra bitcoin por que no realizamos ningún servicio ni nada por ese estilo, con lo cual no supone un problema.

Cada caso será diferente, pero la idea es que os sirva de ejemplo y lo amoldéis a vuestras situaciones. En la siguiente regla me gustaría comentaros antes algo.

El 95% de correos con malware adjunto he podido identificar que, o bien es un documento word 2003 .doc, o bien es un comprimido en .tar. Insisto, la gran mayoría. Dicho esto pasamos a ver la configuración:

Observamos que la regla no influye en correos internos de la organización, es decir, que si enviamos un .doc a un compañero lo recibirá sin problemas. La cosa comienza con los remitentes externos, aquí si el adjunto coincide con las extensión .doc o .tar automáticamente ese correo es redirigido al famoso buzón que solo nosotros administramos y decidimos.

Evidentemente esta regla aparte de evitar problemas los crea, por eso tengo añadidas extensiones que con el tiempo siguen creciendo, por ejemplo proveedores que envían facturas en .doc por que aun utilizan paquetes office antiguos o por lo que sea.. Se añaden y no pasa nada, vais creando vuestra propia «Lista blanca».

De esta forma filtramos muchísimo malware, aunque dependiendo del nivel de tu organización puede incluso darte mas trabajo. Para organizaciones no mas grande de 500 personas aprox creo que se puede llevar bien, ya que lo que requiere tiempo es los primeros meses en los que tendremos que modificar parámetros y estar mas atentos.

Nos vemos en la próxima entrada.

Deja un comentario